우연히 내 컴퓨터에서 다음과 같은 이상한 방화벽 로그 항목을 발견했습니다.
Apr 1 22:17:56 slavic-probook kernel: [23623.091873] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39529 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:57 slavic-probook kernel: [23624.092666] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39622 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:58 slavic-probook kernel: [23625.094162] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40181 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:59 slavic-probook kernel: [23626.094239] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40237 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
SRC IP 주소를 가진 장치는 스마트 TV에 연결된 Telus DVR 상자입니다. 로그에 나온 것처럼 TV Box가 네트워크, 특히 임의 포트의 컴퓨터에 메시지를 보내려고 시도해야 할 이유가 없습니다.
DVR 상자가 감염되어 일부 취약점 스캐너를 실행하고 있다고 결론을 내리는 것이 맞습니까?
업데이트 1
방화벽이 트래픽을 차단하는 것뿐만 아니라 전체 그림을 얻고 싶었기 때문에 문제의 호스트와 관련하여 내 컴퓨터에서 몇 가지 tcpdump-s를 수행했습니다. tcpdump -i wlp2s0 -n "src host 192.168.1.65 or dst host 192.168.1.65"(참고: Wi-Fi 인터페이스에서 듣고 있지만 , TV 상자 자체는 이더넷에 있습니다.)
그 결과 다음과 같은 다수의 멀티캐스트 요청이 발생했습니다.
01:59:17.410558 IP (tos 0xa0, ttl 1, id 9041, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:20.482689 IP (tos 0xa0, ttl 1, id 11391, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:23.350033 IP (tos 0xa0, ttl 1, id 14259, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:26.421815 IP (tos 0xa0, ttl 1, id 16051, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:29.494329 IP (tos 0xa0, ttl 1, id 17699, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
다음과 같은 내용을 담고 있는 각 메시지는 다음과 같습니다.
NOTIFY * HTTP/1.1
x-type: dvr
x-filter: f0e4ba33-5680-459b-8c3d-a4fdeffdb2f9
x-lastUserActivity: 4/2/2018 7:26:29 AM
x-location: http://192.168.1.65:8080/dvrfs/info.xml
x-device: 0d90b7cc-3fc2-4890-b2b9-8f7026732fd6
x-debug: http://192.168.1.65:8080
<node count='7102'><activities><schedver dver='3' ver='57' pendcap='True' /><x/><p15n stamp='08D514D5EC333DF818B81F27ED06'/><recordver ver='46' verid='355872864' size='962072674304' free='952610324480' /><x/></activities></node>
그런 다음 가끔씩 친숙한 방화벽 차단 요청이 발생합니다.
02:02:28.005207 IP (tos 0xa0, ttl 64, id 34066, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
02:02:28.900119 IP (tos 0xa0, ttl 64, id 34258, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
내용:
HTTP/1.1 200 OK
LOCATION: http://192.168.1.65:56790/dd.xml
CACHE-CONTROL: max-age=1800
EXT:
BOOTID.UPNP.ORG: 1
SERVER: Linux/2.6 UPnP/1.1 quick_ssdp/1.1
ST: urn:dial-multiscreen-org:service:dial:1
USN: uuid:0d90b7cc-3fc2-4890-b2b9-8f7026732fd6::urn:dial-multiscreen-org:service:dial:1
이는 SSDP 구현이 중단되었음을 시사하지만 지식이 풍부한 사람들의 의견을 통해 상황을 밝힐 수 있습니다.
업데이트 2
방화벽에 의해 차단된 메시지 그룹(192.168.1.65:1900 -> my.computer:random_port)의 원인을 찾았습니다. Google Chrome은 매분마다 SSDP 검색 요청을 멀티캐스팅했습니다. 코딩된 방식으로 인해 이러한 요청은 무작위로 보이는 포트를 사용하므로 TV Box에서 합법적인 응답이 오면 차단되었습니다.
이로써 첫 번째 메시지 그룹이 명확해졌습니다. 두 번째 그룹의 원인이 무엇인지 여전히 알고 싶습니다.
답변1
이는 여러 가지 이유로 발생할 수 있으므로 너무 성급하게 결론을 내리지 마십시오. 많은 인터넷 지원 장치는 정기적으로 또는 특정 조건이 충족될 때 네트워크 검색을 수행합니다. 전자의 경우는 아닌 것으로 보이므로, 새로운 장치가 패킷을 보내는 등 네트워크의 변화, 사전 공유 키가 동일하게 유지되는 네트워크 보안의 변화(예: WPA에서 WPA2) 또는 라우터의 자동 업데이트에 의해 트리거되는 프로토콜 버전의 차이도 있습니다. 이는 장치가 이 작업을 수행하는 몇 가지 이유입니다.
제가 드릴 수 있는 조언은 네트워크 검사를 실행하라는 것입니다. 다음과 같은 다양한 도구를 사용하여 이 작업을 수행할 수 있습니다.N맵는 명령줄과 그래픽 옵션을 모두 제공하는 매우 인기 있는 무료 네트워크 매핑 도구입니다. NMap과 대부분의 다른 네트워크 매핑 도구는 매핑된 장치에 대한 많은 세부 정보를 제공하므로 네트워크를 매핑하고 의심스러운 IP 주소를 근절하는 것이 좋습니다. 현대의 풍부한 ISP 적용 포트 필터링과 "기본적으로 활성화된" 네트워크 전체 방화벽으로 인해 이제 가장 일반적인 공격은 네트워크 내부에서 발생합니다(예: 근처의 공격자가 Wi-Fi 네트워크에 액세스하고 로그를 남깁니다). 악의적인 공격을 시작했습니다). 따라서 네트워크 매핑은 악의적인 엔터티를 찾는 가장 좋은 방법이 될 것입니다. 다음과 같은 네트워크 침입 탐지 시스템을 사용할 수도 있습니다.흡입. 무선 네트워크를 사용하는 경우 첫 번째 논리적 단계는 사전 공유 키(또는 "비밀번호")를 강력하고 임의로 생성된 키로 변경하는 것입니다. 앞서 언급한 것처럼 대부분의 공격은 네트워크 내에서 발생하므로 공격자가 네트워크의 장치에 지속적으로 액세스하거나 라우터에 물리적으로 액세스하지 않는 한, 이는 적어도 일시적으로 많은 공격자를 차단할 수 있습니다.